Multiplication des fraudes à la carte bancaire : tout ce que vous avez besoin de savoir pour tenter de vous en protéger

Atlantico : Si les risques de piratage de ce mode de paiement électronique ont toujours existé, comment l'arrivée du e-commerce nous expose encore un peu plus aux fraudes ? 

Michel Ruimy : Selon le dernier rapport de l’Observatoire de la sécurité des moyens de paiement, la majorité des escroqueries liées à l’utilisation de la carte bancaire se concentre notamment sur les paiements effectués via l’Internet. S’il faut se féliciter de la légère baisse de la fraude en 2016, il faut toutefois ne pas perdre de vue le processus continu d’innovations initié par les fraudeurs pour vous dérober votre argent. En effet, si le e-commerce peut-être un des vecteurs de la fraude, le paiement sans contact, par exemple, en est un autre. Mais, plus que le e-commerce, les arnaqueurs, toujours à l’affût de nouveautés, ont jeté récemment leur dévolu sur les médias sociaux pour cibler un nouveau segment de population : les enfants du millénaire et la génération Z. Même si ceux-ci semblent maîtriser la technologie, leur présence importante sur les réseaux les désigne comme des « cibles naturelles » pour les fraudeurs… qui n’oublient pas, pour autant, leurs aînés. 

Comment réagir ? Eh bien, pour limiter la tromperie, il convient de signaler les fraudes aux autorités. Car un bon nombre d’utilisateurs ne signalent pas ces fraudes pour diverses raisons : honte d’avoir été trompé, sentiment d’un volume important de paperasserie à remplir au regard du faible montant dérobé… Quant aux entreprises, elles ne souhaitent pas nuire à leur image de marque et/ou donner l’impression d’être vulnérables. En fait, il est essentiel de signaler la fraude car il s’agit du meilleur moyen pour les autorités compétentes d’accumuler des preuves pour arrêter les fraudeurs et mieux protéger les consommateurs et les entreprises.

Concrètement, quel est le mécanisme qui se cache derrière un paiement par carte bancaire ? Pourquoi est-ce aussi simple de pirater une carte de crédit, qu'on soit physiquement en sa possession ou non? 

Un paiement par carte comprend 2 phases : l’autorisation et le règlement. Après que le commerçant ait validé le montant de la transaction dans le terminal, le client insère sa carte de paiement dans la fente prévue à cet effet et saisit son code. Cette action déclenche une demande d’autorisation. En France, plusieurs réponses sont possibles : paiement accepté, refusé, appel phonie, centre non atteint, carte interdite (en opposition)… Si le message « appel phonie » apparaît, cela signifie que le plafond de paiement de la carte a été dépassé (indépendamment du solde du compte). Le commerçant devra alors téléphoner au centre d’autorisation de sa banque, qui contactera elle-même l’agence bancaire du client pour accord ou rejet. Aussi, un appel phonie ne peut être effectué que pendant les heures ouvrables des banques. À la suite de cette demande, il obtiendra un numéro d’autorisation l’assurant de la solvabilité du client et de la conservation de la garantie du paiement. Le commerçant n’est cependant pas tenu d'effectuer un appel phonie. Il peut tout à fait refuser la carte et inviter le client à utiliser un autre moyen de paiement. Il peut également forcer le terminal mais il perd, dans ce cas, la garantie du paiement. Lorsque la transaction est validée, elle est enregistrée dans le terminal. Le client peut alors retirer sa carte et le terminal imprime un ticket-commerçant et un ticket-client. Le transfert de fonds du compte du client vers le compte du commerçant aura lieu lorsque l’appareil déchargera sur les serveurs bancaires, l’ensemble de ses transactions enregistrées. Ainsi, une fois que l’achat a été autorisé, il n'y a pas de retour possible c’est-à-dire que toutes les mesures de détection de fraude doivent être effectuées au cours de la première étape d'une transaction.

Vous pourriez me dire que ce processus est finalement totalement maîtrisé avec de faibles risques opérationnels. Certes, mais alors qu’il y a 10 ans, la carte bancaire était considérée comme un moyen de paiement ultra-sécurisé et infalsifiable, la fraude aujourd’hui fait partie du paysage quotidien. Tout le monde connaît dans son entourage une personne qui s’est fait escroquer. Car si les signes de sécurité de la carte bancaire se sont développées (piste magnétique, cryptogramme visuel situé à son verso, code confidentiel à 4 chiffres), rien ne semble freiner également la cybercriminalité. Mais, la frénésie innovatrice des escrocs, n’explique malgré tout qu’une partie des arnaques. Car, il faut bien savoir que la majeure partie des malversations liées à la carte bancaire a pour origine une négligence humaine (perte, vol…). Le facteur humain est, en effet, le point central des techniques de fraude.

Quel coût représente cette dernière pour les banques ? Comment lutter efficacement contre la fraude de cartes bancaires ?

En 2016, la fraude sur la carte bancaire est en léger recul par rapport à 2015. Elle s’est établi à 399 millions d’euros contre 416 millions un an auparavant. Mais alors que ces pertes financières sont relativement bien estimées, elles représentent, en réalité, environ un peu moins de 10% du coût total de la fraude. En effet, la majeure partie du coût de l’escroquerie est constituée des coûts de gestion (RH, technologie, frais bancaires, insatisfaction client…) et du manque à gagner commercial c’est-à-dire les commissions prélevées sur les transactions des «  bons » clients rejetées par les dispositifs anti-fraude voire abandonnées pour les mêmes raisons. Aujourd’hui, ces deux postes de coût sont mal mesurés car ils sont notamment enfouis dans les comptes de la clientèle et considérés comme étant sans lien direct avec la lutte contre la fraude.

Comment lutter ? L’élément primordial de la lutte contre la fraude consiste, tout d’abord, à bien comprendre, pour tous acteurs anti-fraude, la complexité d’un écosystème qui n’en est encore qu’à ses balbutiements. Je parle de l’environnement digital d’une transaction. La cybercriminalité attire de plus en plus de fraudeurs car elle est appréhendée comme une activité plus facile et moins risquée qu’un cambriolage de banque. D’autant que la technologie permet de déployer, à partir simplement de son ordinateur, des mécanismes de fraude à grande échelle rapidement générateurs de revenus. Par ailleurs, l’évolution des modes de consommation et l’essor des nouveaux canaux de socialisation créent de nouvelles opportunités. Alors que le problème de la fraude via smartphone n’a pas encore trouvé de solution, on parle déjà abondamment du piratage des objets connectés permettant tant le vol de données personnelles que l’envoi de logiciels malveillants. Mais ceci n’est qu’un axe. Il convient aussi d’éduquer les utilisateurs en les sensibilisant à être très vigilants et en les incitant à avoir un comportement de prudence c’est-à-dire notamment ne jamais cliquer sur les liens dans les courriels qui vous demandent de fournir des informations personnelles, même si l’expéditeur semble être votre banque ou lorsque vous effectuez des paiements en ligne, de bien vérifier que l’adresse de la page web commence par « https: // », un protocole de communication pour le transfert de données sécurisé, etc.